抑制ルールを作成するサプレッションされた調査結果を確認する抑制ルールを変更する抑制ルールを削除する

Amazon Macie の調査結果を抑制する

調査結果の分析を合理化するために、[suppression rules] (抑制ルール) を作成して使用できます。[suppression rules] (抑制ルール) は、Amazon Macie が調査結果を自動的にアーカイブするケースを定義する属性ベースのフィルター条件のセットです。抑制ルールは、調査結果のクラスを確認した後、それらの調査結果を再度通知してほしくない場合に役立ちます。

たとえば、バケットがパブリックアクセスを許可せず、デフォルトで新しいオブジェクトを暗号化する場合は、S3 バケットが郵送先アドレスを含めることを許可するように決めることができます。この場合、次のフィールドのフィルター基準を指定するサプレッションルールを作成できます: 機密データの検出タイプ,S3 バケットのパブリックアクセス許可, およびS3 バケットのデフォルトの暗号化。ルールは、フィルター基準を満たすfuture 調査結果を抑制します。

抑制ルールによって調査結果を抑制する場合、Macie は、ルールの基準を満たす機密データおよび潜在的なポリシー違反の発生について調査結果を生成し続けます。ただし、Macie は調査結果のステータスを自動的に [archived] (アーカイブ済み) に変更します。これは、調査結果がデフォルトで Amazon Macie コンソールに表示されないけれども、有効期限が切れるまで Macie には保持されることを意味します。(Macie は、調査結果を90日間保存します。)

抑制された調査結果のステータスを変更することに加えて、Macie は、Amazon に調査結果を公開しません EventBridge イベントとして、またはAWS Security Hub。ただし、Macie は、抑制した機密データの調査結果に関連している [sensitive data discovery results] (機密データの検出結果) を引き続き作成して保存します。これにより、実施するデータプライバシーと保護の監査または調査に関する機密データの調査結果のイミュータブルな履歴を確実に保持できます。

抑制ルールを作成および管理するには、Amazon Macie コンソールまたは Amazon Macie API を使用できます。次のトピックでは、その方法を説明します。API では、トピックには、を使用してこれらのタスクを実行する方法の例が含まれていますAWS Command Line Interface(AWS CLI)。上記のタスクを、別のバージョンを使用して実行することもできますAWSコマンドラインツールまたはAWSSDK、または、HTTPS リクエストを Macie に直接送信します。AWS のツールと SDK に関する詳細については、「AWS での構築ツール」を参照してください。

トピック

抑制ルールを作成する
サプレッションされた調査結果を確認する
抑制ルールを変更する
抑制ルールを削除する

抑制ルールを作成する

抑制ルールを作成する前に、抑制ルールを使用して抑制した調査結果を復元 (アーカイブ解除) できないことに注意してください。ただし、サプレッションされた結果を確認するAmazon Macie API を用いて抑制された結果にアクセスできます。

サプレッションルールを作成するときは、フィルタ基準、名前、および必要に応じてルールの説明を指定します。抑制ルールは、Amazon MacAPI コンソールまたは Amazon Macie API を使用して作成できます。

Console

Amazon Macie コンソールを使用して抑制ルールを作成するには、次のステップに従います。

抑制ルールを作成するには

Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。
ナビゲーションペインで [Findings] (調査結果) を選択します。

ヒント
既存の抑制ルールまたはフィルタールールを開始点として使用するには、[Saved rules] (保存されたルール) のリストからルールを選択します。
また、事前定義された論理グループによる調査結果を最初にピボットしてドリルダウンすることで、ルールの作成を合理化することもできます。これを行うと、Macie は適切なフィルター条件を自動的に作成して適用します。これは、ルールを作成するために役立つ開始点となる場合があります。これを行うには、ナビゲーションペイン ([Findings] (調査結果) の下) の [By bucket] (バケット別)、[By type] (タイプ別)、または [By job] (ジョブ別) を選択し、次にテーブル内で項目を選択します。詳細パネルで、ピボットするフィールドのリンクを選択します。
フィルターバーで、ルールで抑制する調査結果の属性を指定するフィルター条件を追加します。

フィルター条件を追加する方法については、「フィルターの作成と調査結果への適用」を参照してください。
ルールのフィルター条件の追加が完了したら、フィルターバーの上にある [Suppress findings] (調査結果の抑制) を選択します。
[]抑制ルールで、ルールの名前を入力し、オプションで説明を入力します。
[Save] (保存) を選択します。

API

サプレッションルールをプログラムで作成するには、CreateFindingsFilterAmazon Macie API のオペレーションを実行し、必要なパラメータに次の適切な値を指定します。

向けのactionパラメータ、指定ARCHIVEMacie がルールの基準を満たす調査結果を確実に抑制します。
criterion パラメータでは、ルールのフィルター基準を定義する条件のマップを指定します。

マップでは、条件ごとに、フィールド、演算子、およびフィールドの 1 つ以上の値を指定する必要があります。値のタイプと数は、選択するフィールドと演算子によって異なります。条件で使用できるフィールド、演算子、および値のタイプについては、「調査結果をフィルタリングするためのフィールド」、「条件での演算子の使用」、および「フィールドの値を指定する」を参照してください。

を使用してサプレッションルールを作成するにはAWS CLIで、を実行create-findings-filterコマンドを入力し、必要なパラメータに適切な値を指定します。次の例では、現在のAWS リージョンS3 オブジェクト内の郵送先住所 (他のタイプの機密データの調査結果) の出現をレポートします。

この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。


$ aws macie2 create-findings-filter \
--action ARCHIVE \
--name my_suppression_rule \
--finding-criteria '{"criterion":{"classificationDetails.result.sensitiveData.detections.type":{"eqExactMatch":["ADDRESS"]}}}'

この例は Microsoft Windows 用にフォーマットされており、読みやすさを向上させるためにキャレット (^) の行継続文字を使用します。


C:\> aws macie2 create-findings-filter ^
--action ARCHIVE ^
--name my_suppression_rule ^
--finding-criteria={\"criterion\":{\"classificationDetails.result.sensitiveData.detections.type\":{\"eqExactMatch\":[\"ADDRESS\"]}}}

実行する条件は以下のとおりです。

my_suppression_rule は、ルールのカスタム名です。
criterion は、ルールのフィルター条件のマップです。
- [classificationDetails.result.sensitiveData.detections.type] は、[Sensitive data detection type] (機密データの検出タイプ) フィールドの JSON 名です。
- eqExactMatchを指定する完全一致と等しいoperator.
- [ADDRESS] は、[Sensitive data detection type] (機密データ検出タイプ) フィールドの列挙値です。

コマンドが正常に実行された場合は、以下のような出力が表示されます。


{
    "arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/8a3c5608-aa2f-4940-b347-d1451example",
    "id": "8a3c5608-aa2f-4940-b347-d1451example"
}

ここで、arn は、作成された抑制ルールの Amazon リソースネーム (ARN)で、id は、ルールの一意の識別子です。

フィルター基準のその他の例については、「Amazon Macie API を用いて調査結果をプログラムでフィルタリングする」を参照してください。

サプレッションされた調査結果を確認する

デフォルトでは、Macie は Amazon Macie コンソールに抑制された調査結果を表示しません。ただし、フィルター設定を変更することで、コンソールでこれらの調査結果を確認できます。

抑制された結果をコンソールで確認するには

Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。
ナビゲーションペインで [Findings] (調査結果) を選択します。-結果ページには、Macie が現在のAWS リージョン過去90日間. デフォルトでは、これには抑制ルールで抑制された調査結果は含まれません。
フィルターバーで、以下のいずれかを実行します。
- 抑制された調査結果のみを表示するには、[Current] (現在) を選択し、次に Archived (アーカイブ済み) を選択します。
- 抑制された調査結果と現在の調査結果の両方を表示するには、[Current] (現在) を選択し、次に [All] (すべて) を選択します。

Amazon Macie API を使用して、抑制された結果にアクセスすることもできます。抑制された結果のリストを取得するには、ListFindings操作を実行し、指定するフィルタ条件を含めますtrue向けのarchivedフィールド。AWS CLI を使用してこれを行う方法の例については、「調査結果をプログラムでフィルタリングするには」を参照してください。次に、1 つ以上の抑制された調査結果の詳細を取得するには、GetFindingsオペレーションを入力し、取得する各調査結果に一意の識別子を指定します。

抑制ルールを変更する

抑制ルールの設定は、Amazon MacAPI コンソールまたは Amazon Macie API を使用していつでも変更できます。また、ルールにタグを割り当てたり管理したりすることもできます。

ある鬼ごっこは、特定のタイプに付けるラベルですAWSリソースの使用料金を見積もることができます。各タグは、必要なタグキーとオプションのタグ値で構成されています。タグを使用することで、目的、所有者、環境、その他の条件など、さまざまな方法でリソースを識別、分類、および管理できます。詳細については、Amazon Macie リソースにタグ付けするを参照してください。

Console

Amazon Macie コンソールを使用して既存の抑制ルールの設定を変更するには、次のステップに従います。

抑制ルールを変更するには

Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。
ナビゲーションペインで [Findings] (調査結果) を選択します。
[Saved rules] (保存されたルール) のリストで、変更する抑制ルールの隣にある [edit] (編集) アイコン ( ) を選択します。
次のいずれかを実行します。
- ルールのフィルター基準を変更するには、フィルターバーを使用して、ルールで抑制する調査結果の属性を指定するフィルター条件を追加します。この方法の詳細は、「フィルターの作成と調査結果への適用」を参照してください。
- ルールの名前を変更するには、新しい名前を [Suppression rule] (抑制ルール) の下の [Name] (名前) ボックスに入力します。
- ルールの説明を変更するには、新しい説明を [Suppression rule] (抑制ルール) の下の [Description] (説明) ボックスに入力します。
- ルールのタグを割り当て、確認、または編集するには、タグの管理下抑制ルール。次に、必要に応じてタグを確認して変更します。ルールには、最大 50 個のタグを含めることができます。
変更が完了したら、[Save] を選択します。

API

サプレッションルールをプログラムにより変更するには、UpdateFindingsFilterAmazon Macie API の操作。リクエストを送信するときは、サポートされているパラメータを使用して、変更する設定ごとに新しい値を指定します。

id パラメータでは、変更するルールの一意の識別子を指定します。この識別子は、ListFindingsFilterオペレーションを使用して、アカウントの抑制ルールとフィルタールールのリストを取得します。使用している OSAWS CLIで、を実行list-findings-filtersコマンドを実行して、このリストを取得します。

を使用してサプレッションルールを変更するにはAWS CLIで、を実行update-findings-filterコマンドを入力し、サポートされているパラメータを使用して、変更する設定ごとに新しい値を指定します。たとえば、次のコマンドは、既存のサプレッションルールの名前を変更します。


C:\> aws macie2 update-findings-filter --id 8a3c5608-aa2f-4940-b347-d1451example --name mailing_addresses_only

実行する条件は以下のとおりです。

[8a3c5608-aa2f-4940-b347-d1451example] は、ルールの一意の識別子です。
[mailing_addresses_only] は、ルールの新しい名前です。

コマンドが正常に実行された場合は、以下のような出力が表示されます。


{
    "arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/8a3c5608-aa2f-4940-b347-d1451example",
    "id": "8a3c5608-aa2f-4940-b347-d1451example"
}

ここで、arn は、変更されたルールの Amazon リソースネーム (ARN)で、id は、ルールの一意の識別子です

同様に、次の例では、action パラメータの値を NOOP から ARCHIVE に変更することで、フィルタールールを抑制ルールに変換します。


C:\> aws macie2 update-findings-filter --id 8a1c3508-aa2f-4940-b347-d1451example --action ARCHIVE

実行する条件は以下のとおりです。

[8a1c3508-aa2f-4940-b347-d1451example] は、ルールの一意の識別子です。
アーカイブは、ルールの基準を満たす調査結果に対して Macie が実行する新しいアクションです (調査結果を抑制します)。

コマンドが正常に実行された場合は、次のような出力が表示されます。


{
    "arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/8a1c3508-aa2f-4940-b347-d1451example",
    "id": "8a1c3508-aa2f-4940-b347-d1451example"
}

ここで、arn は、変更されたルールの Amazon リソースネーム (ARN)で、id は、ルールの一意の識別子です

抑制ルールを削除する

抑制ルールは、Amazon MacAPI コンソールまたは Amazon Macie API を使用していつでも削除できます。抑制ルールを削除すると、Macie は、ルールの基準を満たし、他のルールによって抑制されない結果の新規およびその後の出現の抑制を停止します。ただし、Macie は、現在処理中であり、ルールの基準を満たす調査結果を引き続き抑制する可能性があることに注意してください。

サプレッションルールを削除した後、ルールの基準を満たす調査結果の新規およびその後の出現は、現在。これは、それらが Amazon Macie コンソールにデフォルトで表示されることを意味します。さらに、Macie はこれらの調査結果をAmazonに発行します EventBridge イベントとして。指定先はによって異なりますパブリケーション設定Macie は、調査結果をAWS Security Hub。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

機密データの場所のスキーマ

調査結果の重要度スコアリング